セキュリティセンターへのサードパーティ資産の追加 - Security Center

一元的な保護と管理のために、サードパーティのクラウドサービスプロバイダー (Tencent Cloud、HUAWEI CLOUD、Amazon Web Services (AWS)、Microsoft Azureなど) からセキュリティセンターに資産を追加できます。このトピックでは、セキュリティセンターにサードパーティ資産を追加する方法について説明します。

接続方法

セキュリティセンターでは、サードパーティ資産を追加する方法を 2 つ提供しており、それぞれ異なるデータを収集します。収集するデータに基づいて方法を選択してください。

接続方法	説明	セキュリティセンターによって収集されたデータ
サードパーティクラウド資産にエージェントを手動でインストールする	この方法を使用すると、外部ホストタグが資産に追加され、セキュリティセンターは資産のサービスプロバイダーを識別できません。	IP アドレス、ホスト名、オペレーティングシステムタイプ、CPU コア数
サードパーティアカウントの AccessKey ペアを使用してサードパーティ資産を追加する	この方法により、セキュリティセンターは資産のサービスプロバイダーを識別し、[ホスト] ページに表示できます。重要この方法でサードパーティ資産を追加した後にセキュリティセンターの保護機能を使用するには、資産にセキュリティセンターエージェントをインストールする必要があります。	IP アドレス、ホスト名、オペレーティングシステムタイプ、CPU コア数、サードパーティクラウド VPC 情報、資産ステータス、リージョン、サービスプロバイダー

サードパーティアカウントの AccessKey ペアを使用してサードパーティ資産を追加する

セキュリティセンターは、サードパーティのクラウドサービスプロバイダー用に作成されたアカウントの AccessKey ペアを使用して、サードパーティ資産に対する読み取り権限を取得し、それらの情報を同期します。これにより、セキュリティセンターを介してクラウド資産を一元的に保護および管理できます。

Tencent Cloud、HUAWEI CLOUD、および Amazon Web Services (AWS) から資産を追加する

セキュリティセンターコンソールにログインします。コンソールの左上隅で、保護する資産が配置されているリージョン (中国または 全世界 (中国を除く)) を選択します。
左側のナビゲーションウィンドウで、システム設定 > 機能の設定 を選択します。
マルチクラウドの設定と管理 > マルチクラウドアセット タブで、権限の新規付与 をクリックします。ドロップダウンリストで、追加するマルチクラウドサービスプロバイダー (Tencent Cloud、HUAWEI CLOUD、または AWS) を選択します。

Add Assets Outside Cloud パネルで、指示に従って対応するクラウドサービスプロバイダーのサブアカウントを作成し、サードパーティクラウドサーバーとセキュリティセンター間の接続を確立します。

サードパーティのクラウドサービスプロバイダーのプラットフォームにログインし、サブアカウントの AccessKey ペアを作成します。

手動設定プラン または Quick Configuration を選択できます。

(推奨) 手動設定プラン: サードパーティのクラウドサービスプロバイダーのサブアカウントを手動で作成し、サブアカウントの AccessKey ペアをセキュリティセンターに付与します。

使用するセキュリティセンターの保護機能に基づいて、[権限の説明] で対応する機能を選択します。

[サーバー資産]: セキュリティセンターのサードパーティアカウントで、Elastic Compute Service の読み取り権限を付与します。セキュリティセンターで、サードパーティクラウド資産のリスク評価や脅威防御などのセキュリティ機能を提供する必要がある場合は、この設定項目を選択してください。
[クラウドセキュリティポスチャ管理]: セキュリティセンターのサードパーティアカウントで、すべてのクラウド資産の読み取り権限を付与します。クラウドセキュリティポスチャ管理機能を使用してサードパーティクラウド資産をスキャンする必要がある場合は、この設定項目を選択してください。
[脅威分析と対応]: Security Center サードパーティアカウントにすべてのクラウド資産に対する読み取り権限と、一部のクラウド資産に対する書き込み権限を付与します。脅威分析および対応機能を使用して、サードパーティのクラウド資産のログを一元管理し、対応処理のためにクラウド資産と対話する必要がある場合は、この設定項目を選択してください。

説明

セキュリティセンターに追加できる資産の種類は、クラウドサービスプロバイダーによって異なります。ページに表示される種類が優先されます。

サブアカウントに、セキュリティセンターが必要とする権限を付与する必要があります。そうでない場合、セキュリティセンターはサードパーティ資産を保護できません。コンソールの指示に従って、サブアカウントの権限を構成します。

サードパーティのクラウドサービスプロバイダーのサブアカウントを保護するために必要な権限

資産タイプ	Tencent Cloud	HUAWEI CLOUD	AWS
ホスト資産	QcloudCVMReadOnlyAccess	ECSReadOnlyAccess	AmazonEC2ReadOnlyAccess
クラウドセキュリティポスチャ管理	CloudResourceReadOnlyAccess QcloudCamReadOnlyAccess	サポートされていません	ReadOnlyAccess
脅威分析と対応	詳細については、「参照ドキュメント」をご参照ください。		サポートされていません

Quick Configuration: マスターアカウントの AccessKey ペアをセキュリティセンターに付与します。セキュリティセンターは、サブアカウントの AccessKey ペアを自動的に作成します。

説明
この構成は、ホスト資産の保護のみをサポートしています。クラウドセキュリティポスチャ管理機能と脅威分析と対応機能はサポートしていません。

SubscriptionId ウィザードページで、取得した AccessKey 情報とアカウント名を入力し、次へをクリックします。

アカウント名は、同じクラウドサービスプロバイダーの異なるアカウントの資産を区別するために使用されます。その目的に基づいて明確な意味を持つ名前を設定することをお勧めします。
監査ログの設定 ウィザードページで、サードパーティ資産のログデータを構成し、[次へ] をクリックします。監査ログを追加する必要がない場合は、[スキップ] をクリックします。
重要
- 監査ログの構成は、クラウドセキュリティポスチャ管理内のクラウドインフラストラクチャ資格管理 (CIEM) のチェック項目に関するデータを取得するために不可欠です。これを構成しないと、セキュリティセンターはサードパーティクラウド資産の CIEM 関連のチェック項目を検出できません。
- この設定項目は、Tencent Cloud 資産と AWS 資産に対してのみサポートされています。HUAWEI CLOUD 資産では、この構成は必要ありません。
  - Tencent Cloud 資産の監査ログを構成する前に、Tencent Cloud コンソールでログトピックを作成し、必要なカスタム権限構成を完了する必要があります。詳細については、「参照ドキュメント」をご参照ください。
  - AWS 資産の監査ログを構成する前に、AWS コンソールで SQS キューを作成し、必要なカスタム権限ポリシー構成を完了する必要があります。詳細については、「参照ドキュメント」をご参照ください。
- AWS のサブアカウントを追加する場合は、取得したリージョン ID と SQS キューの名前を順番に入力します。
- Tencent Cloud のサブアカウントを追加する場合は、取得した Kafka トピック名、Kafka パブリックエンドポイント、およびログトピックのログセット ID を順番に入力します。

[ポリシー構成] ウィザードページで、サードパーティ資産のリージョン、データ同期頻度、その他の設定を構成し、[OK] をクリックします。

設定項目	説明
リージョン選択	追加する資産が存在するリージョンを選択します。セキュリティセンターは、コンソールの左上隅で選択したデータ管理センター (中国または全世界 (中国を除く)) に基づいて、サードパーティアカウント内の資産のデータを対応する管理センターに追加します。
リージョン管理	このオプションを選択すると、セキュリティセンターは、サードパーティアカウント内の指定されたリージョンに新しく作成された資産のデータを現在のデータ管理センターに自動的に同期します。このオプションを選択しないと、新しく作成されたリージョンは保護のためにセキュリティセンターに自動的に追加されません。
Host Asset Synchronization Frequency	セキュリティセンターがサードパーティクラウドサーバーのデータを自動的に同期する間隔を選択します。[シャットダウン] を選択すると、データは同期されません。説明追加する資産に対して [権限の説明] と [ホスト資産] を選択した場合は、このパラメーターを構成する必要があります。
クラウドプロダクトの同期頻度	セキュリティセンターがサードパーティクラウドサービスのデータを自動的に同期する間隔を選択します。[シャットダウン] を選択すると、データは同期されません。説明追加する資産に対して [権限の説明] と [クラウドセキュリティポスチャ管理] を選択した場合は、このパラメーターを構成する必要があります。
AK サービスのステータスチェック	セキュリティセンターがサードパーティアカウントの AccessKey ペアの有効性を自動的にチェックする間隔を選択します。[シャットダウン] を選択すると、有効性はチェックされません。

最新のアセットの同期 をクリックして、サードパーティアカウント内の資産をセキュリティセンターに同期します。
- マスターアカウントの AccessKey ペアを使用すると、マスターアカウントのすべてのサブアカウント内の資産のデータがセキュリティセンターに自動的に同期されます。
- サブアカウントの AccessKey ペアを使用すると、サブアカウント内の資産のデータがセキュリティセンターに自動的に同期されます。

Microsoft Azure から資産を追加する

セキュリティセンターコンソールにログインします。コンソールの左上隅で、保護する資産が配置されているリージョン (中国または 全世界 (中国を除く)) を選択します。
左側のナビゲーションウィンドウで、システム設定 > 機能の設定 を選択します。
マルチクラウドの設定と管理 > マルチクラウドアセット タブで、権限の新規付与 をクリックします。ドロップダウンリストで、追加するマルチクラウドサービスプロバイダー (Microsoft Azure) を選択します。

サードパーティのクラウドサービスプロバイダーのサブアカウントを作成します。

コンソールの指示に従います。サードパーティのクラウドサービスプロバイダーのプラットフォームにログインし、セキュリティセンター用の Microsoft Azure アカウントを手動で作成し、操作コマンドの実行結果から appId、displayName、name、password、tenant 情報を取得する必要があります。

重要
作成したサブアカウントに Microsoft.Compute 権限リソースに対する読み取り専用権限を付与する必要があります。
SubscriptionId ウィザードページで、前の手順で取得した Enter an AppID、Enter a password、tenant、[ドメイン] を入力し、追加する資産タイプを選択して、次へをクリックします。

サポートされている統合の資産タイプは [ホスト資産] で、これはセキュリティセンターのサードパーティクラウドプラットフォームアカウントでElastic Compute Service の読み取り権限を付与することを示します。
監査ログの設定 ウィザードページで、サードパーティ資産のログデータを構成し、[次へ]をクリックします。監査ログを追加する必要がない場合は、[スキップ]をクリックします。
重要
- 監査ログ構成は、クラウドセキュリティポスチャ管理内のクラウドインフラストラクチャ資格管理 (CIEM) のチェック項目に関するデータを取得するために不可欠です。これを構成しないと、セキュリティセンターはサードパーティクラウド資産の CIEM 関連チェック項目を検出できません。
- この構成項目は、Tencent Cloud 資産と AWS 資産に対してのみサポートされています。HUAWEI CLOUD 資産では、この構成は必要ありません。
  - Tencent Cloud 資産の監査ログを構成する前に、Tencent Cloud コンソールでログトピックを作成し、必要なカスタム権限構成を完了する必要があります。詳細については、「参照ドキュメント」をご参照ください。
  - AWS 資産の監査ログを構成する前に、AWS コンソールで SQS キューを作成し、必要なカスタム権限ポリシー構成を完了する必要があります。詳細については、「参照ドキュメント」をご参照ください。
- AWS のサブアカウントを追加する場合は、取得したリージョン ID と SQS キューの名前を順番に入力します。
- Tencent Cloud のサブアカウントを追加する場合は、取得した Kafka トピック名、Kafka パブリックエンドポイント、およびログトピックのログセット ID を順番に入力します。

[ポリシー構成] ウィザードページで、サードパーティ資産のリージョン、データ同期頻度、その他の設定を構成し、[OK]をクリックします。

構成項目	説明
リージョン選択	追加する資産が存在するリージョンを選択します。セキュリティセンターは、コンソールの左上隅で選択したデータ管理センター (中国または全世界 (中国を除く)) に基づいて、サードパーティアカウント内の資産のデータを対応する管理センターに追加します。
リージョン管理	このオプションを選択すると、セキュリティセンターは、サードパーティアカウント内の指定されたリージョンに新しく作成された資産のデータを現在のデータ管理センターに自動的に同期します。このオプションを選択しないと、新しく作成されたリージョンは保護のためにセキュリティセンターに自動的に追加されません。
Host Asset Synchronization Frequency	セキュリティセンターがサードパーティクラウドサーバーのデータを自動的に同期する間隔を選択します。[シャットダウン]を選択すると、データは同期されません。説明追加する資産に対して[権限の説明]と[ホスト資産]を選択した場合は、このパラメーターを構成する必要があります。
クラウドプロダクトの同期頻度	セキュリティセンターがサードパーティクラウドサービスのデータを自動的に同期する間隔を選択します。[シャットダウン]を選択すると、データは同期されません。説明追加する資産に対して[権限の説明]と[クラウドセキュリティポスチャ管理]を選択した場合は、このパラメーターを構成する必要があります。
AK サービスのステータスチェック	セキュリティセンターがサードパーティアカウントの AccessKey ペアの有効性を自動的にチェックする間隔を選択します。[シャットダウン]を選択すると、有効性はチェックされません。

結果の検証

セキュリティセンターにサードパーティ資産を追加した後、アセットセンター ページで資産の情報を確認できます。

ホスト資産として追加された資産を表示するには

アセットセンター > ホストアセット ページに移動して、追加されたサードパーティクラウドサーバーを表示します。詳細な手順については、「参照ドキュメント」をご参照ください。
クラウドセキュリティポスチャ管理として追加された資産を表示するには

アセットセンター > クラウドプロダクト ページに移動して、クラウドセキュリティポスチャ管理によって追加されたサードパーティ資産を表示します。

表示をクリックして、アセットの基本情報とクラウドセキュリティポスチャ管理の結果を確認します。詳細については、「参照ドキュメント」および「参照ドキュメント」をご参照ください。

次のステップ

サードパーティアカウントの AccessKey ペアを使用してサードパーティ資産を追加した後、セキュリティセンターの保護機能を利用するには、サードパーティクラウド資産にクライアントを手動でインストールする必要があります。クライアントのインストール手順については、「参照ドキュメント」をご参照ください。

その他の操作

マルチクラウドの設定と管理 > マルチクラウドアセット ページで、サードパーティクラウド資産の接続ポリシーを表示、変更、または削除できます。

資産接続ポリシーの右側にあるをクリックして、権限情報とサービスステータスを表示します。

対応するアクセスポリシーの Service Status は、すべての資産権限の Service Status が正常な場合にのみ、正常と表示されます。資産権限に異常がある場合は、Service Status にカーソルを合わせて、異常の理由を表示します。
資産接続ポリシーまたは資産権限の変更列の 操作する をクリックして、ポリシーの SK、資産タイプ、リージョンなどの情報を変更できます。
ビジネスニーズに基づいて、ポリシーまたは権限を有効化、無効化、または削除できます。

ポリシーまたは権限を無効化または削除すると、セキュリティセンターはクラウドサービスプロバイダーからのポリシーまたは権限に基づいて資産を同期しなくなります。